FAQ sur la refonte du régime juridique des cookies

En matière de cookies, la loi française a fait l’objet de changements après la transposition des directives du 3ème « Paquet Télécom ». Retour sur de nouvelles règles en vigueur depuis trois mois qui soulèvent de nombreuses difficultés d'application et d'interprétation pour les exploitants de sites web.

1. Quelles sont les nouvelles règles imposées par l’ordonnance du 24 août 2011 ?
L’ordonnance du 24 août 2011 impose désormais aux responsables de sites une obligation de fournir des informations claires et complètes sur les opérations de dépôts des cookies ainsi que sur la possibilité de s’y opposer ultérieurement. En outre, les responsables de sites doivent obtenir le consentement de l’internaute, préalablement à l’installation d’un cookie sur son terminal. Il s’agit d’une modification importante puisque auparavant la loi disposait simplement que les internautes devaient être informés lorsqu’un cookie avait été installé sur leurs ordinateurs.

2. Quels sont les cookies concernés par ces nouvelles règles ?
Le terme cookie est à prendre au sens large et vise « toutes informations stockées dans un équipement terminal », en ce compris toutes les technologies apparentées aux cookies tels que les cookies flash (local shared object) ou le stockage local web (stockage DOM).
Néanmoins, le nouvel article 32 II de la loi « Informatique et Libertés » exclut de l’obligation de consentement préalable, les cookies exclusivement destinés à faciliter les communications électroniques ainsi que les cookies strictement nécessaires à la fourniture d’un service en ligne faisant l’objet d’une demande expresse de l’internaute.  Il s’avère donc essentiel d’effectuer un examen concret des types de cookies exploités.
A titre d’exemple, la CNIL est d’avis que ne sont pas soumis à l’obligation de consentement préalable :
* les cookies utilisés pour gérer un panier d’achat sur un site de vente en ligne;
* les cookies permettant d’ouvrir une session utilisateur;
* les cookies destinés uniquement à la sécurité d’un service demandé par l’utilisateur;
* les cookies permettant d’enregistrer des préférences pour la fourniture d’un service (comme, par exemple, la langue parlée par l’utilisateur pour les sites multilingues);
* les cookies contenant des éléments strictement nécessaires pour faire fonctionner un lecteur média.

3. Comment obtenir le consentement des internautes ?
Pour les autres cookies, le consentement doit être libre, spécifique et informé. Concrètement, le consentement doit résulter du libre choix de l’internaute et doit porter sur un cookie précis. En outre, tout utilisateur doit être préalablement informé de la finalité du traitement, ainsi que de la possibilité de s’y opposer. A cet égard, quelques précisions s’imposent sur les conséquences pratiques relatives à l’application de la nouvelle législation.

3.1 L’acceptation par paramétrage de navigateur Internet
La CNIL considère que les fonctionnalités de paramétrages des navigateurs actuels ne permettent pas de répondre aux exigences de consentement libre et spécifique imposées par la nouvelle loi dans la mesure où ils ne permettent pas aux utilisateurs, ni de donner leur consentement à un cookie précis, ni d’être informés de manière claire et complète sur la finalité du traitement.
En complément, la CNIL est d’avis qu’il est possible de recueillir valablement l’accord des internautes via des mécanismes alternatifs tels que la mise en place d’une bannière en haut d’une page web, d’une zone de consentement en surimpression sur la page web ou encore par un système de cases à cocher lors de l’inscription à un service en ligne. Les nouvelles dispositions précisent également qu’il est possible de recueillir le consentement de l’internaute via « tout autre dispositif placé sous son contrôle » tel qu’un module complémentaire installé sur son navigateur ou une plateforme web permettant de gérer les consentements. En revanche, l’utilisation des fenêtres « pop-up » est déconseillée par la CNIL puisqu’elles peuvent être bloquées par les navigateurs.

3.2 L’insertion d’une clause d’acceptation des cookies dans les Conditions Générales d'Utilisation (CGU):
L’insertion d’une clause générale d’acceptation dans les CGU ne devrait pas être suffisante pour recueillir valablement le consentement des internautes. En effet, les CGU étant un document contractuel, l’acceptation de ces conditions en vue de la fourniture d’un bien ou d’une prestation de service ne permet pas de recueillir le consentement libre, spécifique et autonome de l’utilisateur sur les modalités d’usage de divers types de cookies sur son terminal.

3.3 Est-il nécessaire de solliciter l’accord de l’internaute à chaque visite ?
Non, si l’internaute a déjà donné son accord à l’installation d’un cookie pour une finalité déterminée lors d’une visite antérieure, il n’est pas nécessaire de lui demander son accord ultérieurement. Cette règle est valable pour tous les cookies ayant fait l’objet d’une information et d’un consentement préalable, qu’ils soient déposés par l’exploitant du site ou par des tiers partenaires (régie publicitaires par exemple).

4.  Ces obligations s’appliquent-elles aux cookies déposés par un tiers ?
L’obligation d’information et d’obtention de consentement préalable pèse sur le responsable du site. En conséquence, si l’exploitant d’un site web autorise ses partenaires ou sous-traitants à déposer des cookies sur le terminal des internautes, il lui revient d’appliquer ou de faire appliquer les nouvelles dispositions concernant les cookies.

5. Quelles sanctions sont prévues par la loi en cas de non-respect de la règle du consentement préalable ?
Les violations de la loi « Informatique et Libertés » sont passibles de sanctions financières maximales de 300.000 € auxquelles peuvent s’ajouter des sanctions pénales. A cet égard, la CNIL entend veiller au respect de la nouvelle législation applicable aux cookies mais admet que sa mise en œuvre sur certains sites pourra engendrer des délais. Par conséquent, en cas de plainte ou de contrôle, les efforts réalisés par le responsable du site pour se mettre en conformité avec les nouvelles dispositions seront pris en compte par la CNIL. Il est dès lors important pour les opérateurs en ligne de se mettre rapidement en conformité en engageant une réflexion sur les moyens à mettre en œuvre pour respecter ces nouvelles dispositions tout en tenant compte des contraintes techniques d’exploitation de leur site web.

6. Et dans les autres pays de l’Union européenne ?
Le délai de transposition des directives du troisième « Paquet Telecom » a expiré le 25 mai 2011. Cependant, à cette date, seuls sept Etats membres (Danemark, Estonie, Finlande, Irlande, Malte, Royaume-Uni et Suède) s’étaient entièrement conformés aux nouvelles règlementations européennes, dont notamment celles relatives aux cookies. Par conséquent, la Commission Européenne a mis en demeure, le 18 juillet 2011, les autres pays membres n’ayant pas encore notifié les mesures complètes de transposition. Entretemps, la France, la Hollande et la Hongrie se sont mis en conformité.